专家级服务

应急响应服务

应急响应服务包括 7*24 小时安全事件应急处置及应急演练两部分内容。其中安恒信息应急演练服务包括 应急预案制定、应急演练平台构建、红蓝对抗服务等 全场景演练内容。应急响应服务结合安恒信息应急响 应工具箱和应急指挥平台,提供快速高效的处置能力。  

应急处置服务

一、服务内容

安恒应急响应服务主要面向客户提供已发生安全事件的事中、事后的取证、分析及提供解决方案等工作。

安恒信息可以帮助客户完成下列类型安全事件的应急响应支持:

事件类别

详细描述

网络攻击事件

  • 安全扫描攻击:黑客利用扫描器对目标进行漏洞探测,并在发现漏洞后进一步利用漏洞进行攻击
  • 暴力破解攻击:对目标系统账号密码进行暴力破解,获取后台管理员权限
  • 系统漏洞攻击:利用操作系统、应用系统中存在漏洞进行攻击
  • WEB漏洞攻击:通过SQL注入漏洞、上传漏洞、XSS漏洞、授权绕过等各种WEB漏洞进行攻击
  • 拒绝服务攻击:通过大流量DDOS或者CC攻击目标,使目标服务器无法提供正常服务
  • 其他网络攻击行为

恶意程序事件

恶意程序主要类型及危害:

  • 病毒、蠕虫:造成系统缓慢,数据损坏、运行异常
  • 远控木马: 主机被黑客远程控制
  • 僵尸网络程序(肉鸡行为):主机对外发动DDOS攻击、对外发起扫描攻击行为
  • 挖矿程序:造成系统资源大量消耗

WEB恶意代码

网站恶意代码常见类型及危害:

  • Webshell后门:黑客通过Webshell控制主机
  • 网页挂马:页面被植入待病毒内容,影响访问者安全
  • 网页暗链:网站被植入博彩、色情、游戏等广告内容

信息破坏代码

  • 系统配置遭篡改:系统中出现异常的服务、进程、启动项、账号等等
  • 数据库内容篡改:业务数据遭到恶意篡改,引起业务异常和损失
  • 网站内容篡改事件:网站页面内容被黑客恶意篡改
  • 信息数据泄露事件:服务器数据、会员账号遭到窃取并泄露

其他安全事件

  • 账号被异常登录:系统账号在异地登录,可能出现账号密码泄露
  • 异常网络连接:服务器发起对外的异常访问,连接到木马主控端、矿池、病毒服务器等行为

二、服务方式

安恒信息应急响应服务包括单次服务和年度服务两种形式,服务地点可以选择客户现场和远程两种方式,客户可以根据需要选择适合自己的服务。

1.现场服务和远程服务

根据服务地点,可以分为现场服务和远程服务两种。

现场服务:指接到客户紧急服务请求,支持人员在最短时间内赶赴客户现场,协助客户分析事件可能的原因,解决各类安全事件。

远程服务:指通过电话、QQ远程协助、远程临时接入等非现场的活动,协助客户分析事件可能的原因,解决各类安全事件。

2.单次服务和年度服务

根据服务的周期,可以分为单次服务和年度服务两种。

单次服务:指为客户提供的一次性应急响应服务。一般由发生安全事件的客户临时申请应急响应支持人员参与应急事件处理,支持人员在分析完所有客户提供的信息后,向客户提交应急响应报告。

年度服务:服务期限以年为单位,服务年度内为客户提供有限次数的应急响应支持工作,每次服务均会提供详细的应急响应报告。

 

应急预案及演练服务

一、服务内容

安恒信息可为用户提供应急预案及应急演练服务,在服务期内,为应对信息系统遇到突发的安全问题如:发生网络入侵事件、大规模病毒爆发、遭受拒绝服务攻击等,无法及时对该事件进行处理或解决的情况,提前针对此类事件进行应急预案的编制和演练,当此类事件发生时以便进行快速应对处置。

应急预案及演练服务包含如下场景:

应急预案编制包括入侵系统攻击安全事件、拒绝服务攻击安全事件、病毒与木马攻击安全事件、网站页面篡改安全事件、数据库内部误操作等场景。

应急演练包括:

信息篡改:模拟针对www.test.cn网站首页篡改事件的监控和处理(利用上传漏洞或者弱口令实施攻击)。

拒绝服务:模拟从外部发起的针对www.test.cn网站的拒绝服务攻击事件的监控和处理(UD\CC等DDOS攻击工具)。

恶意代码:模拟某恶意攻击者,利用系统的弱口令,利用windows共享管理服务(tcp/445),获得对服务器的控制权限。

DNS劫持:模拟由于网站的域名解析管理账号存在弱口令,域名权威解析被篡改事件。

应急预案及演练服务可根据客户实际要求进行定制。

二、服务方式

安恒信息在进行应急预案和应急演练时,将采取现场服务的方式,为客户编制应急预案,组成客户进行应急演练的开展。